Category Archives: Security

Social Networking: Ist der Benutzer wirklich echt?

Wie kann ich sicherstellen, dass die Identität eines Benutzers in einem online Netzwerk echt ist?

Soziale Netzwerke sind en vouge. Sie leben davon, dass Benutzer Informationen über sich preisgeben und austauschen. Doch sowohl Anwender, wie auch Betreiber haben dabei eine wichtige Frage zu lösen: Wie kann ich sicher sein, dass hinter einer Identität eines Teilnehmers auch wirklich die richtige Person steckt und keine vorgeschobene, falsche Identität.?

Aus unserer eigenen Erfahrung mit dem Aufbau von online Ehemaligen Netzwerken (Alumni-Portalen) wissen wir, gefälschte Benutzer-Accounts sind ein Problem für die Integrität und dem Wert einer sozialen Community.

Gefälschte Benutzer-Accounts mindern den Wert einer social Community

Insbesondere wenn die Benutzung einer social Community kostenlos ist, stellt die Validierung eines Benutzerkontos eine große Hürde da. Bei einem bezahlten Angebot kann über die Bankinformation oder dem Kreditkarten-Inhaber eine Validierung des Accounts erfolgen. Erfolgt die Zahlung reibungslos, ist die Wahrscheinlichkeit einer gültigen Identität sehr hoch – auch wenn immer ein Restrisiko durch den betrügerischen Missbrauches von Kontendaten oder Kreditkarte durch Dritte bleibt.

Nur wenige Möglichkeiten zur Validierung bleiben dem Betreiber eines kostenlosen Webangebotes. Wie lässt sich beispielsweise für ein Netzwerk einer Hochschul Alumni-Community die Identität eines Teilnehmers validieren?

Es gibt für diese Problem leider keinen Stein der Weisen. Mit einer technischen Lösung bei der online Registrierung sind nur primitive ein Fake-Accounts erkennbar. Wer sich als „Monika Mustermann“ anmeldet, kann gefiltert werden. Doch was ist mit einem „Michael Müller“ ? Hier versagt jedes Warnsystem. Natürlich lassen sich auch bei der Eingabe von Adressdaten, diese mit einem online Orts- und Straßenverzeichnis abgleichen. Raffinierte Fake-Accounts geben hier einfach einen existierende Strasse eines existierenden Ortes ein und umgehen so die Prüfung.

Technik ist also keine Lösung. Okay, es liegt Nahe bei der Validierung die Technik durch menschlichen IQ zu ergänzen.

Überprüfung der Alumni-Adresse – wie weit ist dies durch Technik und Mensch möglich?

Als Hochschule bieten sich hier eine Reihe von Überprüfungsmöglichkeiten. Doch wie gut sind diese wirklich? Zunächst kann man die Daten einer Online-Anmeldung mit den Daten der eigenen Studentenverwaltung abgleichen. Stimmen Schlüsseldaten wie Abschlussjahr, Abschlussfach und Name überein, könnte der angemeldete Account tatsächlich gültig sein.

Doch ist er wirklich gültig?

Seien Sie sich als Betreiber einer Alumni-Plattform nicht zu sicher. Eine solche Prüfung lässt sich einfach umgehen. Als Betrüger reicht es aus, sich die Identität eines Absolventen zu leihen, um sich Zugang zum sozialen online Netzwerk zu verschaffen.

Das Problem der geliehenen Identität

Woher können sich Betrüger eine solche Identität beschaffen? Die Antwort ist einfach: aus anderen sozialen Netzwerken, wie XING, LinkedIN oder beispielsweise StudiVZ. Dort lassen sich gezielt die Namen und beruflicher Werdegang mit Studienverlauf recherchieren.

Mit diesen Informationen kann eine Anmeldung mit einer geliehenen Identität an jedem Alumni-System erfolgen. Technische Prüfung und kontrollierende Blicke durch Mitarbeiter, loslassen sich so leicht überlisten.

Mit der sicheren Validierung einer Anmeldung steigt der Aufwand

Wer einen Account wirklich validieren möchte, muss also weiter denken. Eine Möglichkeit der Validierung eines Accounts wird beispielsweise von Google-Maps verwendet. Bei der Anmeldung einer neuen Adresse überprüft Google-Maps die Identität über den Postweg. An jede neu registrierte Adresse wird eine Postkarte mit einem Aktivierungscode gesendet. Erreicht die Postkarte den Empfänger, muss dieser seinen Online-Account mit Eingabe des Aktivierungscodes freischalten. Ein aufwändiges Verfahren, dass aber mit einer sehr hohen Wahrscheinlichkeit die Gültigkeit der angegebenen Adresse sicherstellt. Technisch ist die Lösung ohne Probleme zu realisieren, Sie erfordert aber eine reibungslose administrative Umsetzung. Denn nach einer Anmeldung müssen Postkarten gedruckt und versendet werden. Das ist aufwändig.

iPhone Hack 2.0: Simlock per Software entfernen

Wer knackt am elegantesten den Simlock des iPhones? Nach dem spektakulären iPhone Hack vom Wochenende gibt es nun die nächste Meldung. Statts mit dem Lötkolben zu werkeln, soll das iPhone nun durch einen Software-Eingriff zu entsperren sein. Diesen Erfolg melden die die Hacker von iphonesimfree auf ihrer Webseite.

Wir warten gespannt auf den praktischen Beweiß. Sollte sich diese Meldung bestätigen, dürfte der GAU für Apple ein SUPERGAU sein…

iPhone Hack

George Hotz, hat es wohl geschafft. Durch einen Hack ist es ihm wohl gelungen, das iPhone mit beliebigen Mobilprovidern zu benutzen. Auf einem YouTube Video demonstriert er ein iPhone, welches mit T-Mobile USA statts mit At&T funktioniert.

[youtube tvJ1RGlxe8Q]

Damit wäre die exklusive Bindung des iPhones an einen Mobilprovider vorerst überwunden. In seinem Blog beschreibt Gerorg Hotz den Hack, der sowohl einen Eingriffe in die Hardware und Firmware des Gerätes beinhaltet.

War Skype ein Opfer russischer Hacker?

Die letzten Tage waren nicht leicht für Skype-Anwender. Das beliebte VoIP und IM-System litt unter massiven Störungen. Wie das online Magazin Slashdot meldet, könnte ein Angriff russischer Hacker für den Totalausfall des Skype-Systems verantwortlich sein.

Der auf einer russischen Webseite veröffentliche Exploit, beschreibt ein einfaches Perlscript, welches bei den angegriffenen Skype-Servern angeblich einen Buffer-Overflow erzeugt und diese dann abstürzen lässt.

Laut einem Bericht der Washington Post, bestreitet Skype Opfer dieses Angriffes geworden zu sein.

Wahre Risiken im Flugverkehr

Bitte, bitte, sorgt doch einfach für stabile Software im Flugverkehr, anstatt Flugreisende zu gängeln. Warum lasse ich mir es eigentlich gefallen, dass meine Schuhe durchleuchtet werden und ich meine Zahnpasta in durchsichtige Tüten packen muss, wenn die wahren Risiken so aussehen:

Application Error am Flughafen

Da passt diese Meldung vom 13.08.2007 ganz gut, nachdem 6.000 Passagiere durch eine Computerpanne am Flughafen Los Angeles nicht in die USA einreisen durften.

It’s not a Bug, it’s a Feature: Internet-Explorer verrät FTP Zugangsdaten

Wer per FTP mit dem Internet-Explorer HTML-Dateien herunterlädt handelt sich unter Umständen ein Sicherheitsproblem ein. Wie Blogger Brian Krebs schreibt, enthält die gespeicherte Datei in einer Kommentarzeile die Zugangsdaten zum FTP-Server.

Wer also eine solche HML-Datei unbereinigt wieder ins Web stell, gibt so unfreiwillig seine FTP-Zugangsdaten preis. Wie auch Heise Online meldet, sieht Microsoft in dieser Funktion nicht zwingend ein Sicherheitsproblem:

…der Internet Explorer nicht als vollwertiger FTP-Client gedacht sei. Der Grund warum die URL im Dokument gespeichert werde, sei die Zuordnung zu einer Sicherheitszone, falls das Dokument zu einem späteren Zeitpunkt nochmals lokal geöffnet werde. Name und Passwort würden deshalb auftauchen, da sie Bestandteil einer gültigen URL seien…

In Redmond herrscht wohl die Meinung: It’s not a Bug, it’s a feature.

Einen besonderes Erlebnis ist es in Google mit folgender Keyword-Suche auf die Pirsch zu gehen:

„<!– saved from url=“+“ftp://“

Security by obscurity: Das Problem der Typo3 Plugins

Typo3 ist eines der erfolgreichsten Content-Management Systeme. Das Open Source System ist weit verbreitet und hat eine große Entwickler-Community, die Bugs behebt und Schwachstellen ausmerzt.

Das Kernsystem hat Sicherheitsaudits bestanden und wird unter anderem auch von Banken für deren Internet-Auftritt verwendet. Alles Sicher, alles Bestens könnte man meinen.

Denkste. Die besten Sicherheitsaudits und Community-Reviews taugen nichts, wenn das Qualitätsmanagement leicht ausgehebelt werden kann. In Typo3 geschieht dies durch „Extension“, Erweiterungen des Kernsystems, die die Entwickler-Community über den Extension-Manager miteinander austauschen.

So beschreibt der TYPO3 Security Blog, wie leichtfertig einige TYPO3-Anwender mit einer Sicherheitslücke bei der Erweiterung „ftp-Brower“ umgehen:

“ftpbrowser” wurde insgesamt über 4500 mal aus dem TER heruntergeladen – der zugehörige Security Fix bis heute (10 Tage nach dem Bulletin) aber nicht mal 100 mal! Und “fechangepassword” sowie “civserv” weisen ähnlich schlechte Raten auf.

Neben den Mängeln im Update-Verfahren, gibt es ein generelles Problem in der Nutzung der Extension-Repository.

Denn im Gegensatz zum Systemkern, finden bei den beigesteuerten Erweiterungen nur selten intensive Code-Reviews durch die Community statt. Es gibt auch kein angewandtes Qualitätsmanagement, welches die Aufnahme einer Erweiterung in das Repository standardisiert überwacht und regelt.

Die Folge: das Repository beinhaltet Unmengen von Erweiterungen, von den einen Großteil sich durch lückenhafte Dokumentation der Programmierung auszeichnen. Zudem gibt es zahlreiche Forks von Erweiterungen, anstatt die Sourcebasis einer Erweiterung über Versionsmanagement zu verwalten.

Und nur das Denkmodell einer böswillig eingeschleusten Schadsoftware in einer niedlichen Extension ist beunruhigend. Wo keine Kontrolle stattfindet, ist die Versuchung groß…

Es herrscht also Chaos im Extension-Repository. Ein gefährliches Chaos. Denn eine schlecht programmierte Erweiterung kann dazu führen, dass das TYPO3-System kompromittiert wird. Eine Schwachstelle in einer Erweiterung ist unter Umständen auch eine Schwachstelle in TYPO3.

Doch was tun?

Zunächst muss man bei der Einbindung von Erweiterungen aus dem TYPO3 Repository Vorsicht walten lassen. Entwickler sollten sich denSourcecode der verwendeten Extension genau anschauen.

Innerhalb der TYPO3 Community muss für das Repository ein QM Prozess definiert werden. Unter Umständen führt dies, dazu das Erweiterungen die den Qualitätsstandard nicht erfüllen als „unsicher“ gekennzeichnet werden müssen. Doch um dies zu bewerkstelligen braucht die Community Manpower um Reviews durchzuführen.

Wurde eine Schwachstelle in einer Extension entdeckt, müsste diese Nachricht per Feed automatisch in das Backend von Typo3 eingeblendet werden. Wenn ein Administrator deutlich zum Update aufgefordert wird, kann er zur Tat schreiten. In diesem Punkt finde ich die Update-Information bei WordPress sehr gut gelöst.

An diesem Punkt muss die Diskussion in der Community fortgeführt werden. In der Zwischenzeit heißt es für Entwickler: schau Dir die Extension sehr genau an, die du verwenden möchtest.

Virenspam mit Google-Absender

Auch eine vermeintliche E-Mail von Google bekommen, mit dem Betreff „Entfernung Ihrer Webseite www.xyz.de aus dem
Google Index
„?

Keine Panik!

Diese E-Mail wird nicht von Google versendet, sondern ist eine Fälschung! Je nach Variante, erhalten Empfänger diese E-Mail mit oder ohne Virus-Datei-Anhang.

E-Mail einfach ungeöffnet in den Papierkorb werfen und vergessen.

Der Text der E-Mail:

Absender:
Google Search Quality DO NOT REPLY

Betreff:
Entfernung Ihrer Webseite „www.xyz.de“ aus dem Google Index

Nachrichtentext:
Sehr geehrter Seiteninhaber oder Webmaster der Domain ,

bei der Indexierung Ihrer Webseiten mussten wir feststellen, dass auf Ihrer Seite Techniken angewendet werden, die gegen unsere Richtlinien verstossen. Sie finden diese Richtlinien unter folgender Webadresse:

http://www.google.de/webmasters/guidelines.htmlUm die Qualitaet unserer Suchmaschine sicherzustellen, haben wir bestimmte Webseiten zeitlich befristet aus unseren Suchergebnissen entfernt. Zurzeit sind Seiten von fuer eine Entfernung ueber einen Zeitraum von wenigstens 30 Tagen vorgesehen.

Wir haben auf Ihren Seiten insbesondere die Verwendung folgender Techniken

festgestellt:

*Seiten wie z. B. www.xyz.de, die zu Seiten wie z. B.

http://www.xyz.de/index.htm mit Hilfe eines Redirects weiterleiten, der nicht mit unseren Richtlinien konform ist.

Gerne wollen wir Ihre Seiten in unserem Index behalten. Wenn Sie wollen,, dass Ihre Seiten wieder von uns akzeptiert werden, korrigieren oder entfernen Sie bitte alle Seiten, die gegen unsere Richtlinien verstossen. Wenn dies erfolgt ist, besuchen Sie bitte die folgende Webadresse, um weitere Informationen zu erhalten und einen Antrag auf Wiederaufnahme in unseren Suchindex zu stellen:

https://www.google.com/webmasters/sitemaps/reinclusion?hl=de

Anbei erhalten Sie ein Google Webmastertool um Ihre Seite erneut zu indexieren.
Google Search Quality Team

1 5 6 7 8